Hallo,

wir haben das Projekt "Berechtigungen anlegen" erhalten. Wir haben nun verschiedene Rollen mit verschiedenen Berechtigungen angelegt. Es hat alles wunderbar geklappt, haben sie dann auch getestet (positiv wie negativ). Als wir aber die Rolle "DEÜV" und "Buchungslauf ins Finanzwesen" zugewiesen haben, durften diejenigen User plötzlich wieder "alles", d.h.: nach dem Anlegen dieser beiden Rollen konnten bestimmte User, die bestimmte Gehälter nicht sehen dürfen, plötzlich deren Abrechnungen, Lohnkonten etc. laufen lassen usw..
Wenn wir diese beiden Rollen wieder entfernen, dann paßt alles wieder. Das geht jedoch nicht, da jeder Abrechnungskreis in seinem Bereich alles können muß.
Das Problem bei uns ist, dass wir 15 Abrechnungskreise haben und 20 Buchungskreise.  Die Buchungskreise sind wiederum unterteilt in die verschiedenen Abrechnungskreise.
Wir haben zB den Buchungskreis 5. Dieser Enthält Löhne und Gehälter, ein Teil wird somit im Abrechnungskreis A1, der andere Teil im Abrechnungskreis A2 abgerechnet. A1 darf nichts von A2 sehen, ebenso darf A2 nichts von A1 sehen.
Es muß also in unseren Rollen irgendwo eine Verknüpfung bestehen. Wo kann ich das finden? Zugewiesen haben wir jedem Sachbearbeiter nur "seinen" Abrechnungskreis.
Danke jetzt schon für die Antworten!

Viele Grüße, Elke

Das Problem hört sich sehr komplex an. Kannst Du es anhand eines Beispiels näher spezifizieren.

Hallo Richard,
mehr kann ich dazu leider nicht sagen, da ich in diesem Bereich noch eine Anfängerin bin. Mir scheint, ich habe das SAP HR bisher nur oberflächlich benutzt. Deswegen bin ich hier.
Viele Grüße, Elke

Hallo Richard,
mehr kann ich dazu leider nicht sagen, da ich in diesem Bereich noch eine Anfängerin bin. Mir scheint, ich habe das SAP HR bisher nur oberflächlich benutzt. Deswegen bin ich hier.
Viele Grüße, Elke

Hallo Elke,
auch ich muss mich mit einem Berechtigungskonzept herumschlagen. Gehe damit in dieser Woche in Prod-System.

Ich habe keine von SAP definierten Rollen genommen, sondern nur die Transaktionen. Der Transaktion muss Buchungskreis und Abrechnungskreis zugeordnet werden.

Morgana

---

Hallo Elke,

leider lässt sich eine Analyse anhand Deiner Angaben nicht wirklich durchführen. Dazu müsstest Du schon näher beschreiben was die einzelen Rollen beinhalten (auf Objekt und Org.-Ebene) und was konkret nicht mehr zugelassen sein darf.

Deshalb kann ich nur sehr global anmerken, dass es sich evtl. um die Einstellungen der Infotypen handeln könnte. Oder aber Mitarbeitergruppe, Personalbereich usw. uneingeschränkt in der Zahllaufrolle zur Verfügung gestellt wird. Denn man muss auf jeden Fall beachten, dass Berechtigungen immer additiv für den User zur Verfügung gestellt werden. D.h., das mit dem höchsten Wert ausgeprägte Objekt wird unabhängig von der Rolle für den User gezogen.

Petra

Hallo Elke,

das hört sich für mich verdächtig nach einer falschen Verwendung des Berechtigungsobjekts P_ABAP an. Schau mal in den betreffenenden Rollen nach ob dieses Objekt vorhanden ist. Bei einigen wenigen Reports ist dies notwendig (soweit ich mich erinnere bspw. beim Zahlungslauf) aber das Objekt darf keinesfalls mit Report * verwendet werden. Mit diesem Objekt kann die weitere Berechtigungsprüfung für die aufgeführten Reports komplett unterbunden werden. Damit kann ein Sachbearbeiter bspw. einfache Auswertungen (bspw. Adressen, Geburtsdatum) für alle Mitarbeiter starten obwohl er für einige dieser Mitarbeiter keinen Zugriff auf den IT 0002 oder 0006 hat.

Gruß,
Chris

---

Hallo Elke,

falls das Problem noch besteht, so kannst Du auch mal einen Berechtigungstrace mittels Transaktion ST01 anstoßen und da mal schauen, was geprüft wird, einmal mit neuen Rollen und einmal ohne. Dann dürfte die "erfolgreiche" Prüfung schonmal zu finden sein.

Mittels der Transaktion S_BCE_68001417 kannst Du dann rausfinden in welchen Rollen das steckt und in welchen Ausprägungen das da vorhanden ist. Somit lässt sich immer gut rausfinden, ob sich nicht noch irgendwo ein versteckter *-Eintrag eingeschlichen hat.

Viele Grüße,

Peter